HackTrophy: Etickí hackeri vám otestujú firemné webové aplikácie a systémy
- Autor:
- Roman Mališka
- Zverejnené:
- 30. 6. 2017
- Hodnotenie:
- Už ste hlasovali.
Asi netreba nikomu vysvetľovať, akým tvrdým orieškom sú pre firmu hackeri. No čo by ste povedali na to, keby sa tak hackeri pridali na vašu stranu a pomohli vám nájsť zraniteľné miesta vo vašom systéme? Nič nemožné. Vďaka spojeniu dvoch skupín, ktoré sa dlhodobo venujú etickému hackingu sa to podarilo. Citadelo spolu s Nethembou vytvorili projekt HackTrophy, ktorý prepája firmy so službami hackerov.
Mnohé veľké spoločnosti už niekoľko rokov zavádzajú takzvané „bug-bounty“ programy, cez ktoré odmeňujú bezpečnostných analytikov za nájdené zraniteľnosti vo svojich webových aplikáciách a systémoch. Týmto riešením sa inšpirovali aj šikovní slovenskí programátori, ktorí vytvorili projekt s názvom HackTrophy. Ten je určený hlavne pre firmy, ktoré si nemôžu dovoliť nákladné bezpečnostné audity, no chcú získať informácie o tom, či je ich systém nejakým spôsobom napadnuteľný.
„Je to projekt, ktorý dáva zmysel. Rieši ozajstný problém, ktorý pociťuje viac a viac firiem a to je, že s internými ľuďmi, ktorí sa starajú o tú bezpečnosť, sa jednoducho ten obrovský nátlak hackerov zo sveta ustáť nedá,“ hovorí pán Tomáš Zaťko, CEO, Citadelo.
Projekt HackTrophy môže využiť v podstate akákoľvek firma, ktorá poskytuje svoje služby alebo produkty v prostredí internetu, od veľkých korporácií, bánk, poskytovateľov cloudových služieb, až po e-shopy či malé start-upy. Penetračné testy bezpečnosti internetových platforiem v HackTrophy majú pritom na starosti takzvaní etickí hackeri. Projekt je špecifický aj v tom, že by mohol osloviť firmy a hackerov najmä v našom regióne.
„Tá motivácia pre tie firmy je hlavne v tom, že sme v súčasnosti v strednej Európe asi jediný takýto významnejší projekt tohto typu. A pre tých hackerov je motivácia v tom, že teda majú viac možností sa uplatniť a získať teda nejakú odmenu,“ hovorí pán Roman Fülöp, Nethemba.
Projekt HackTrophy by sa dal veľmi zjednodušene prirovnať k akémusi trhovisku. Cez webové rozhranie si firma vytvorí zadanie na hľadanie chýb v kóde svojich webových aplikácií a zaregistrovaní etickí hackeri sa ho potom snažia rýchlo splniť, pretože stanovenú finančnú odmenu získa len ten najrýchlejší z nich. Týmto spôsobom sa tiež znížila šanca na prípadné zamlčanie nejakej nájdenej zraniteľnosti zo strany hackera.
„V tejto chvíli tam máme zaregistrovaných cez 150 etických hackerov a oni vlastne súťažia medzi sebou. To znamená že keď nejaký hacker nájde viac zraniteľností a bude ju chcieť zatajovať, tak v podstate znižuje pravdepodobnosť, že získa odmenu, keďže ho môže niekto predbehnúť. A tým pádom je to skôr taký nejaký trhový zápas alebo nejaký taký súboj medzi hackermi o to, kto nájde skorej nejakú zraniteľnosť a kto ju skorej nahlási,“ vysvetľuje pán Roman Jazudek, HackTrophy.
Zadávanie požiadavky na vykonanie penetračného testu cez webové rozhranie HackTrophy je pritom jednoduché a prehľadné. Firmy však môžu tiež využiť aj služby odborníkov, ktorí im pomôžu.
„Množstvo obsahu, ktoré by inak museli definovať sami, je v aplikácii pripravených vo forme šablón. V každom prípade s akoukoľvek okolnosťou toho ich programu vieme pomôcť. Či už s nastavením zraniteľnosti, ktorú chcú nájsť, alebo práve naopak výnimiek alebo odmien za tie zraniteľnosti,“ dodáva pán Roman Fülöp, Nethemba.
Samozrejme môžu vniknúť obavy, či takéto testy od etických hackerov nemôžu napáchať aj nejaké škody. Tie však vôbec nie sú na mieste, pretože o bezpečnosť je poriadne postarané.
„Robíme s verejne dostupnými informáciami. To znamená, že vy keď si vytvoríte ten program u nás, tak vlastne tam nedávate informácie, ktoré by boli nejakým spôsobom zneužiteľné. Naozaj sa tam skôr špecifikuje to, aké techniky sú hackerské povolené, aké postupy a tak ďalej. A nie je to o tom, žeby ste tam dávali nejaké heslá alebo nejaké interné informácie o tom softvéri, ktoré by sa dali zneužiť,“ uzatvára pán Roman Jazudek, HackTrophy.
Myšlienka projektu HackTrophy na podobné riešenia, ktoré sú známe najmä spoza veľkej mláky. Dnes majú teda tatko služby hackerov k dispozícii už aj slovenské firmy. Takýmto spôsobom môžu pritom ušetriť nemalé náklady, ktoré by inak vynaložili na finančne náročné bezpečnostné audity.
